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Wet van 4 juni 2015 tot wijziging van de Wet 
bescherming persoonsgegevens en enige andere 
wetten in verband met de invoering van een 
meldplicht bij de doorbreking van maatregelen 
voor de beveiliging van persoonsgegevens 
alsmede uitbreiding van de bevoegdheid van het 
College bescherming persoonsgegevens om bij 
overtreding van het bepaalde bij of krachtens de 
Wet bescherming persoonsgegevens een 
bestuurlijke boete op te leggen (meldplicht 
datalekken en uitbreiding bestuurlijke 
boetebevoegdheid Cbp) 


Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, 

Prins van Oranje-Nassau, enz. enz. enz. 

Allen, die deze zullen zien of horen lezen, saluut! doen te weten: 

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet 
bescherming persoonsgegevens en enige andere wetten te wijzigen om 
een meldplicht bij de doorbreking van maatregelen voor de beveiliging 
van persoonsgegevens in het leven te roepen alsmede om de Wet 
bescherming persoonsgegevens te wijzigen om een uitbreiding te 
realiseren van de bevoegdheid van het College bescherming persoonsge¬ 
gevens om bij overtreding van het bij of krachtens die wet bepaalde een 
bestuurlijke boete op te leggen; 

Zo is het, dat Wij, de Afdeling advisering van de Raad van State 
gehoord, en met gemeen overleg der Staten-Generaal, hebben goedge¬ 
vonden en verstaan, gelijk Wij goedvinden en verstaan bij deze: 


ARTIKEL I 

De Wet bescherming persoonsgegevens wordt als volgt gewijzigd: 

OA 

In artikel 1 wordt, onder vervanging van de punt aan het slot van 
onderdeel p door een puntkomma, twee onderdelen toegevoegd, 
luidende: 

q. bindende aanwijzing: de zelfstandige last die wegens een overtreding 
wordt opgelegd; 
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r. zelfstandige last: de enkele last tot het verrichten van bepaalde 
handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet 
bestuursrecht, ter bevordering van de naleving van wettelijke 
voorschriften. 

A 


Artikel 14 wordt als volgt gewijzigd: 

1. In de eerste volzin van het eerste lid wordt «met betrekking tot de te 
verrichten verwerkingen» vervangen door: met betrekking tot de te 
verrichten verwerkingen, en ten aanzien van de melding van een inbreuk 
op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans 
op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft 
voor de bescherming van persoonsgegevens die door hem worden 
verwerkt. 

2. Het derde lid komt te luiden: 

3. De verantwoordelijke draagt zorg dat de bewerker: 

a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, 
eerste lid; 

b. de verplichtingen nakomt die op de verantwoordelijke rusten 
ingevolge artikel 13, en 

c. de verplichtingen nakomt die op de verantwoordelijke rusten ten 
aanzien van de verplichting tot melding van een inbreuk op de bevei¬ 
liging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige 
nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de 
bescherming van persoonsgegevens die door hem worden verwerkt. 

3. In het vierde lid wordt «in afwijking van het derde lid, onder b.» 
vervangen door: in afwijking van het derde lid, onder b en c. 

4. In het vijfde lid wordt «alsmede de beveiligingsmaatregelen als 
bedoeld in artikel 13» vervangen door: de beveiligingsmaatregelen, 
bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de 
beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen 
dan wel ernstige nadelige gevolgen heeft voor de bescherming van 
persoonsgegevens die door hem worden verwerkt,. 

B 


1. Aan het opschrift van hoofdstuk 5 wordt toegevoegd «en de 
meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het 
College». 

2. Na artikel 34 wordt in hoofdstuk 5 een artikel ingevoegd, luidende: 

Artikel 34a 

1. De verantwoordelijke stelt het College onverwijld in kennis van een 
inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzien¬ 
lijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige 
gevolgen heeft voor de bescherming van persoonsgegevens. 

2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene 
onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de 
inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens 
persoonlijke levenssfeer. 
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3. De kennisgeving aan het College en de betrokkene omvat in ieder 
geval de aard van de inbreuk, de instanties waar meer informatie over de 
inbreuk kan worden verkregen en de aanbevolen maatregelen om de 
negatieve gevolgen van de inbreuk te beperken. 

4. De kennisgeving aan het College omvat tevens een beschrijving van 
de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de 
verwerking van persoonsgegevens en de maatregelen die de verantwoor¬ 
delijke heeft getroffen of voorstelt te treffen om deze gevolgen te 
verhelpen. 

5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan 
dat, rekening houdend met de aard van de inbreuk, de geconstateerde en 
de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, 
de kring van betrokkenen en de kosten van tenuitvoerlegging, een 
behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. 

6. Het tweede lid is niet van toepassing indien de verantwoordelijke 
passende technische beschermingsmaatregelen heeft genomen waardoor 
de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn 
voor eenieder die geen recht heeft op kennisname van de gegevens. 

7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene 
doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk 
ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de 
betrokkene, van de verantwoordelijke verlangen dat hij alsnog een 
kennisgeving doet. 

8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die 
leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel 
ernstige nadelige gevolgen heeft voor de bescherming van persoonsge¬ 
gevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de 
aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de 
kennisgeving aan de betrokkene. 

9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn 
hoedanigheid als aanbieder van een openbare elektronische communica¬ 
tiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, 
eerste en tweede lid, van de Telecommunicatiewet. 

10. Het tweede en zevende lid zijn niet van toepassing op financiële 
ondernemingen als bedoeld in de Wet op het financieel toezicht. 

11. Bij algemene maatregel van bestuur kunnen nadere regels worden 
gesteld met betrekking tot de kennisgeving. 

Ba 

In artikel 43, aanhef, wordt «34 en 35» vervangen door: 34, 34a, tweede 
lid, en 35. 

C 


Na artikel 51 wordt een artikel ingevoegd, luidende: 

Artikel 51a 

1. Het College is bevoegd om in het belang van een efficiënt en effectief 
toezicht op de verwerking van persoonsgegevens afspraken te maken met 
andere toezichthouders en daartoe gezamenlijk met deze toezichthouders 
samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol 
wordt bekendgemaakt in de Staatscourant. 

2. Het College en de toezichthouders, bedoeld in het eerste lid, zijn 
bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de 
gegevens betreffende de verwerking van persoonsgegevens te 
verstrekken die noodzakelijk zijn voor de uitvoering van hun taak. 
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Ca 


Aan artikel 51 wordt een lid toegevoegd, luidende: 

4. Het College wordt in het maatschappelijk verkeer aangeduid als: 
Autoriteit persoonsgegevens. 


Artikel 66 komt te luiden: 

Artikel 66 

1. Het College kan een bestuurlijke boete opleggen van ten hoogste 

het bedrag van de geldboete van de vierde categorie van artikel 23, vierde 
lid, van het Wetboek van Strafrecht ter zake van overtreding van het 
bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, 
aanhef en onder a. 

2. Het College kan een bestuurlijke boete opleggen van ten hoogste het 
bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, 
van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde 
bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, 
eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 
35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, 
derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en 
derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, 
alsmede van artikel 5:20 van de Algemene wet bestuursrecht. 

3. Het College legt geen bestuurlijke boete op wegens overtreding van 
het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde 
artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het 
College kan de overtreder een termijn stellen waarbinnen de aanwijzing 
moet worden opgevolgd. 

4. Het derde lid is niet van toepassing indien de overtreding opzettelijk 
is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. 

5. Het College kan een bestuurlijke boete opleggen van ten hoogste het 
bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, 
van het Wetboek van Strafrecht in geval van niet-nakoming van een 
bindende aanwijzing. Artikel 23, zevende lid, van het Wetboek van 
Strafrecht is van overeenkomstige toepassing. 

Da 

Na artikel 66 wordt een artikel ingevoegd, luidende: 

Artikel 67 

Het College overlegt voorafgaand aan het vaststellen van een beleids¬ 
regel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, 
tweede lid, genoemde artikelen met Onze Minister en Onze Minister van 
Binnenlandse Zaken en Koninkrijksrelaties. 

E 


Artikel 71 komt te luiden: 

Artikel 71 

De werking van de beschikking tot oplegging van de bestuurlijke boete 
wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, 
indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het 
bezwaar respectievelijk het beroep is beslist. 
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Ea 


In artikel 75, eerste lid, wordt «hetgeen bij of krachtens artikel 4, derde 
lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is bepaald,» vervangen 
door: hetgeen bij of krachtens artikel 4, derde lid, of 78, tweede lid, is 
bepaald,. 

F 


(vervallen) 


ARTIKEL II 

De Telecommunicatiewet wordt als volgt gewijzigd: 


A 


In artikel 11.1 wordt, onder vervanging van de punt aan het slot van 
onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende: 

k. College bescherming persoonsgegevens: het College bescherming 
persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens 

B 


In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt «de Autoriteit 
Consument en Markt» telkens vervangen door: het College bescherming 
persoonsgegevens. 

C 


Artikel 15.1 wordt als volgt gewijzigd: 

1. Onder vernummering van het derde en vierde lid tot vierde en vijfde 
lid wordt een nieuw derde lid ingevoegd, luidende: 

3. Met het toezicht op de naleving van het bepaalde bij of krachtens 
artikel 11.3a zijn belast de bij besluit van het College bescherming 
persoonsgegevens aangewezen ambtenaren. 

2. In de eerste volzin van het vierde lid wordt «eerste en tweede lid» 
vervangen door: eerste, tweede en derde lid. 

3. In het vijfde lid wordt «eerste, tweede en derde lid» vervangen door: 
eerste, tweede, derde en vierde lid. 

D 


Artikel 15.2 wordt als volgt gewijzigd: 

1. In het tweede lid wordt «artikel 15.1, derde lid» vervangen door: 
artikel 15.1, vierde lid. 

2. Onder vernummering van het vierde en vijfde tot vijfde en zesde lid 
wordt na het derde lid een lid ingevoegd, luidende: 

4. Het College bescherming persoonsgegevens is bevoegd tot 
oplegging van een last onder bestuursdwang ter handhaving van de 
verplichtingen, gesteld bij of krachtens de in artikel 15.1, derde lid, 
bedoelde bepalingen. 
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E 


Artikel 15.4 wordt als volgt gewijzigd: 

1. Onder vernummering van het vierde, vijfde en zesde lid tot vijfde, 
zesde en zevende lid wordt na het derde lid een lid ingevoegd, luidende: 

4. Het College bescherming persoonsgegevens kan een bestuurlijke 
boete opleggen van ten hoogste € 450.000 ter zake van overtreding van 
de bij of krachtens de in artikel 15.1, derde lid, bedoelde regels, alsmede 
van artikel 5:20 van de Algemene wet bestuursrecht. 

2. In het vijfde lid wordt «artikel 15.1, derde lid» vervangen door: artikel 
15.1, vierde lid. 

F 


In artikel 15.5, eerste en tweede lid, en artikel 15.7, eerste en tweede lid, 
wordt «artikel 15.1, eerste, tweede, onderscheidenlijk derde lid» telkens 
vervangen door: artikel 15.1, eerste, tweede, derde, onderscheidenlijk 
vierde lid. 


ARTIKEL Ma 

Indien het bij koninklijke boodschap van 26 april 2013 ingediende 
voorstel van wet tot wijziging van de Instellingswet Autoriteit Consument 
en Markt en enige andere wetten in verband met de stroomlijning van het 
door de Autoriteit Consument en Markt te houden markttoezicht (Kamer¬ 
stukken 33 622) tot wet wordt verheven en artikel XIV van die wet op een 
eerder tijdstip in werking treedt dan artikel II van deze wet, komen de 
artikelen II en III te luiden: 

Artikel II 

De Telecommunicatiewet wordt gewijzigd als volgt: 


A 


In artikel 11.1 wordt, onder vervanging van de punt aan het slot van 
onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende: 

k. College bescherming persoonsgegevens: het College bescherming 
persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens 

B 


In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt «de Autoriteit 
Consument en Markt» telkens vervangen door: het College bescherming 
persoonsgegevens. 

C 


Artikel 15.1 wordt als volgt gewijzigd: 

1. Onder vernummering van het tweede en derde lid tot derde en vierde 
lid wordt een nieuw tweede lid ingevoegd, luidende: 

2. Met het toezicht op de naleving van het bepaalde bij of krachtens 
artikel 11.3a zijn belast de bij besluit van het College bescherming 
persoonsgegevens aangewezen ambtenaren. 
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2. In de eerste volzin van het derde lid wordt «eerste lid» vervangen 
door: eerste en tweede lid. 

3. In het vierde lid wordt «eerste lid» vervangen door: eerste en tweede 
lid. 

D 


Artikel 15.2 wordt als volgt gewijzigd: 

1. In het tweede lid wordt «artikel 15.1, tweede lid» vervangen door: 
artikel 15.1, derde lid. 

2. Onder vernummering van het derde en vierde tot vierde en vijfde lid 
wordt na het tweede lid een lid ingevoegd, luidende: 

3. Het College bescherming persoonsgegevens is bevoegd tot 
oplegging van een last onder bestuursdwang ter handhaving van de 
verplichtingen, gesteld bij of krachtens de in artikel 15.1, tweede lid, 
bedoelde bepalingen. 

E 


Aan artikel 15.4 wordt een lid toegevoegd, luidende: 

4. Het College bescherming persoonsgegevens kan een bestuurlijke 
boete opleggen van ten hoogste € 450.000 ter zake van overtreding van 
de bij of krachtens de in artikel 15.1, tweede lid, bedoelde regels, alsmede 
van artikel 5:20 van de Algemene wet bestuursrecht. 

F 


(vervallen) 


G 


In het eerste en tweede lid van artikel 15.7 wordt «artikel 15.1, eerste 
lid» vervangen door: artikel 15.1, eerste en tweede lid. 

Artikel III 

In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht 
komt onderdeel b van de zinsnede met betrekking tot de Telecommunica¬ 
tiewet te luiden: 

b. de artikelen 3.10, 15.2, derde lid, 15.4, vierde lid en 18.9, eerste en 
tweede lid 


ARTIKEL III 

In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht 
komt onderdeel b van de zinsnede met betrekking tot de Telecommunica- 
tiewette luiden: 

b. de artikelen 3.10, 15.2, vierde lid, 15.4, vierde lid en 18.9, eerste en 
tweede lid 


ARTIKEL lila 

In artikel 35, derde lid, van de Wet politiegegevens komt de tweede 
volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet bescherming 
persoonsgegevens zijn van overeenkomstige toepassing. 
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ARTIKEL lllb 


In artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens 
komt de tweede volzin te luiden: De artikelen 66, eerste lid, en 71 van de 
Wet bescherming persoonsgegevens zijn van overeenkomstige 
toepassing. 


ARTIKEL IV 

1. Ten aanzien van de mogelijkheid om bezwaar te maken tegen een 
besluit van de Autoriteit Consument en Markt op grond van de artikelen 
15.2 en 15.4 van de Telecommunicatiewet terzake van overtreding van het 
bepaalde bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is 
bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet, blijft 
het oude recht van toepassing. 

2. Op de behandeling van een bezwaarschrift tegen een besluit als 
bedoeld in het eerste lid, blijft het oude recht van toepassing. 

3. Ten aanzien van de mogelijkheid om beroep of hoger beroep in te 
stellen tegen een besluit van de Autoriteit Consument en Markt op grond 
van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van 
overtreding van het bepaalde bij of krachtens artikel 11.3a van de 
Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van 
inwerkingtreding van deze wet, blijft het oude recht van toepassing. 

4. Op de behandeling van het beroep en hoger beroep tegen een besluit 
als bedoeld in het eerste lid, blijft het oude recht van toepassing. 


ARTIKEL IVa 

Onze Minister van Veiligheid en Justitie zendt binnen een jaar na het 
van toepassing worden van de algemene verordening gegevensbe¬ 
scherming van de Europese Unie, aan de Staten-Generaal een verslag 
over de doeltreffendheid en de effecten van deze wet in de praktijk. 


ARTIKEL IVb 

Indien het bij koninklijke boodschap van 28 juni 2013 ingediende 
voorstel van wet tot wijziging van het Wetboek van Strafrecht, het 
Wetboek van Strafvordering en de Wet op de economische delicten met 
het oog op het vergroten van de mogelijkheden tot opsporing, vervolging, 
alsmede het voorkomen van financieel-economische criminaliteit 
(verruiming mogelijkheden bestrijding financieel-economische crimina¬ 
liteit) (Kamerstukken 33 685) tot wet wordt verheven en artikel I, onderdeel 
D, van die wet eerder in werking is getreden of treedt dan artikel I, 
onderdeel D, van deze wet, wordt in artikel I, onderdeel D, aan artikel 66, 
tweede lid, van de Wet bescherming persoonsgegevens een volzin 
toegevoegd: Artikel 23, zevende lid, van het Wetboek van Strafrecht is van 
overeenkomstige toepassing. 


ARTIKEL V 

Deze wet treedt in werking op een bij koninklijk besluit te bepalen 
tijdstip, dat voor de verschillende artikelen of onderdelen daarvan 
verschillend kan worden vastgesteld. 
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Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en 
dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks 
Kamerstuk33 662 aangaat, aan de nauwkeurige uitvoering de hand zullen houden. 

Gegeven te Wassenaar, 4 juni 2015 

Willem-Alexander 


De Staatssecretaris van Veiligheid en Justitie, 

K.H.D.M. Dijkhoff 

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, 
R.H.A. Plasterk 

De Minister van Economische Zaken, 

H.G.J. Kamp 


Uitgegeven de negentiende juni 2015 

De Minister van Veiligheid en Justitie, 
G.A. van der Steur 
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